资安议题浮上台面,骇客为何专挑求职网下手?近期104人力银行遭骇客入侵一事引发热烈讨论,事实上,过去几年间另一家求职网1111也曾遭骇客攻击。求职网站有大量珍贵的个资,如今发现资安漏洞,求职者将面临哪些风险?
104人力银行遭骇客入侵的消息,高达592万笔个资盗走,并放在暗网上交易,以500或1000美元(约1.45万~2.9万台币)出售牟利。104人力银行发表声明证实遭骇,并指出骇客公开的35笔资料都是2013年的旧资料,目前已主动向调查局报案。无独有偶,另一家人力银行1111也被PTT网友爆料335万笔求职者资料放在暗网求售,而稍早1111官方发声明给会员,强调是9年前的旧案,目前都已全面提升资安的维护,为保障企业及会员权益,已向保险公司投保第三人责任险,1111董事会也拨出新台币2亿元成立赔偿基金,确保会员权益。
104遭骇,全台约过半求职者遭殃104被盗取的资料包括求职者的身份证号、出生年月日、电子邮箱、手机号码、家庭住址等敏感个资,依据行政院主计处我国就业人口统计1,150万7千人计算,等于有近过半的求职者个资遭外泄。104人力银行坦言是昨日一早看了媒体报导才知被骇,事后经初步了解,外泄的资料为2013年旧资料,并表示会持续强化资安建设,保护使用者个资安全,但官方初步仅提供客服专线,来解决求职者的个资疑虑。像104这样的大型求职网,会员个资
保护看似面面俱到,却也逃不过骇客攻击。1111人力银行则传出会员个资被放在中国暗网交易论坛贩售,包括身份证字号、姓名、性别、身高、体重、电话、手机、邮箱、住址、毕业学校、专业、个人简历,强调资料相当详细、非常新,且一件售价达1000美元。不过这并非1111首次遇骇,去年也爆出20万笔使用者资料放在国外网站“突袭论坛”(RaidForums)兜售,再再显示求职网站资安破了大洞。专家也提醒,接下来诈骗集团可能会利用外泄的个资,以电邮、电话或社群媒体的方式进行诈骗,提醒民众近来要提高警觉;另外,使用者在非求职期间,可考虑要求人力银行业者将求职个资依法删除,降低自身个资被泄漏的风险。
台湾资安史上最严重事件,媒体报导及政府民众关注度极低。人力银行处理方式更令人失望,以资料是老的或案子是旧的来回复,以强化资安建设、投保责任险、设立赔偿基金来应付社会质问。这样不痛不痒处理及回复,是极不负责、不严谨。
从个人权利而言,一个人存在价值或尊严有关之权利,称之为人格权,是不可抛弃、不可移转、不可侵害的。人格权包括生命权、身体权、健康权、名誉权、自由权、信用权、隐私权、贞操权、姓名权等。个资的泄露,就是对人格权的侵犯。
台湾立法《个人资料保护法》从2012年10月实施,规范个人资料之搜集、处理及利用,以避免人格权受侵害。虽然此保护法订有处罚条款,但比起国际资讯保护法显然不足,特别是对保管个人资料的企业的处罚。例如欧盟2018年实施的《一般资料保护规范》法令,对于泄漏个资的企业,依照触犯程度,可以处罚该企业全球年收入的2%,或甚至4%于重大案例。
此次台湾求职人六百万个资被骇盗外泄,可能包括你我个人资料,政府及人力银行公司至今的处置方式,我们能不在乎吗?
更有甚者,今年五月底美国资安公司还揭露台湾内政部户政司网站被骇,两千万台湾民众个人资料外泄在暗网兜售,包含民众人名、身份证字号、出生年日、住址、性别等。这不就是台湾所有民众资料,都被泄露了吗?政府第一时间却以资料老旧来源不一来回应。
求职人,民众,我们人格权被侵犯了,不能再不闻不问、无动于衷了!
(作者为台湾东吴大学商学院兼任教授)
